Kaynak koruması: Kernel koruması

KAYNAK KORUMASI
Kernel koruması

Microsoft, Windows Resource Protection (WRP) ile önemli kayıt anahtarlarını ve dosyaları bozulmalardan ve manipülasyondan korumayı amaçlıyor. XP'deki sistem dosyası korumasından farklı olarak Vista, bozuk sistem dosyalanın güvenlik kopyalarıyla değiştirerek tamir etmeye çalışmıyor. Bunun yerine neredeyse tüm sistemin önemli verileri ve anahtarlara yazma hakkını elinden alıyor. LocalSystem ve sistem yöneticisi hile' bu verilerde sadece okuma hakkına sahip. Sadece Trustedlnstaller hizmeti dosyaları bir kurulumdan sonra güncellemeler için değiştirebiliyor veya silebiliyor.

Bunların dışında Microsoft, Vista'da yeni bir hizmet türü ortaya çıkarmış: Protected Services (korumalı hizmetler). Bunların sistem güvenliğiyle bir ilgisi olmasa da, Digital Rights Management (DRM, dijital haklar yönetimi) ile korunmuş içeriklere erişilmesini engelliyorlar. Böylece bu tip hizmetler, izni olmayan yazılımlar arabirimlerine erişmek islediklerinde veya manipülasyonlar tespit ettiklerinde veri akışını kesiyorlar.

64 bitlik Vista sürümünün Kernel koruması roolkit'lere karşı güçlü bir koruma sağlıyor. Bunlar kernel manipülasyonlarıyla virüs tarayıcı kırdan ve diğer programlardan gizlenmeye çalışıyorlar. Vista'nın 32 bitlik sürümlerinde bu kernel koruması mevcut değil.

64 bit kernel korumasının bileşenlerinden biri olan PatchGuard'ın (Kernel Patch Protection) görevi, kernel üzerindeki manipülasyonları Önceden tespit etmek ve işletim sistemini ciddi durumlarda kapatmak. Çekirdek bunun için beş ile on dakika arasında değişen süreler aralığında, kernel hizmetleri işlevleri için adres listeleri (SSDT), Interrupt Descriptor Table (IDT) ve Global Descriptor Table (GDT) gibi korunmuş kernel yapılarını kontrol ediyor. Hatta AMD işlemcili 64 bit sistemlerde çekirdeğin tüm adres alanlarında modifikasyon yasak. PatchGuard bir tutarsızlık tespit elliğinde, sistemi korumak için acil bir şekilde sistemi kapatıyor. Bu esnada sistemde kaydedilmemiş veriler maalesef kayboluyor.

Ne var ki, güvenlik duvarları ve anti virüs programları gibi iyi niyetli yazılımlarda adresleri, fonksiyon çağrılarını filtrelemek ve mesela bir davranışsal engelleyici (behavioristic blocker) ile analiz etmek için kendi rutinlerine yönlendiriyorlar. Bu tip güvenlik yazılımlarına buna rağmen gözetleme işlevi sağlamak için, resmi uygulama arabirimleri tasarlanmış, bunlar başka filtrelerin eklenmesine izin veriyorlar. Bunun için bir dijital imzaya sahip olmaları gerekiyor.

Bu gözetleme arabirimlerinin içerisinde bir dosya sistemi ve kayıl defleri mini filtresi bulunuyor. Güvenlik duvarları, Windows Filtering Platform (WFP) ile gelen ve giden veri paketlerini analiz edip gerekliğinde alarm veriyorlar. Microsoft, kendisi için çalışan bir kernel'in "hotpatching"ine izin veriyor; Özel bir dijital imzaya sahip güvenlik güncelleştirmeleri, sistemin yeniden başlatılması gerekmeksizin etkin hale geliyor. Microsoft, Avrupa Birliği Rekabet Komisyonu'nun baskıları doğrultusunda diğer yazılım üreticilerine de Vista'da kapsamlı bir AP1 sunacak, ancak bu tahminen 2008'de yayınlanacak Service Pack 1'le gerçekleştirilecek.

Kernel modifikasyonlarına karşı koruma için ikinci Önlenişe, 64 bit Vista sürümünün arlık sadece imzalı sürücüleri (Kernel Mode Code Signing) kabul etmesi. Eski 32 bitlik sürücüler 64 bit modunda çalışmıyor. Üreticiler sürücülerini 64 bitlik mod için uyarlamak zorundalar.